17 марта 2015

Что такое Samsung Pay и как обстоят дела с безопасностью

Безопасность Новости

На проводившейся недавно в Барселоне выставке Mobile World Congress крупнейший производитель Android-смартфонов, Samsung, представил свою собственную платформу мобильных платежей — Samsung Pay. Название, разумеется, напоминает об Apple Pay — запущенной ранее платежной платформе главного конкурента южнокорейской компании. Несмотря на сходство в общей концепции, платформа Samsung Pay предлагает кое-что такое, чего Apple Pay не умеет. А именно технологию MST — Magnetic Secure Transmission.

Samsung Pay: как работает и что с безопасностью?

Технология MST разработана компанией LoopPay, которая без лишнего шума была куплена Samsung в середине февраля — буквально за пару недель до непосредственного анонса Samsung Pay. В чем идея этой технологии: если Apple Pay позволяет расплачиваться смартфоном только в тех терминалах, которые поддерживают NFC, то MST дает пользователю возможность платить в любых терминалах, которые работают с магнитной полосой карты.

Считыватель магнитной полосы встроен во все имеющиеся в мире терминалы. И поддержка «магнитной технологии» особенно актуальна для США, где внедрение более современной технологии EMV (карты с чипом) серьезно задержалось. Само собой, Samsung Pay позволяет платить и через NFC. То есть вроде как это те самые два зайца одним ударом — с Samsung Pay работают и самые старые терминалы, и самые новые.

Нам на Kaspersky Daily не особенно интересно участвовать в вечном холиваре Apple vs. Samsung. Но что нам интересно, так это попытаться понять, насколько безопасна платежная платформа от Samsung. Не сказать чтобы на тему MST в частности или Samsung Pay в целом была масса исследований, поэтому мы посмотрели, что рассказывает о своей технологии ее непосредственный разработчик — компания LoopPay.

Для начала разберемся, как это работает. А работает это следующим образом: MST генерирует переменный ток и за счет этого создает динамически изменяющееся магнитное поле. По сути, эмулируется процесс «прокатывания» карты через считывающее устройство — по крайней мере, для считывателя магнитной полосы это будет выглядеть именно так. Разумеется, непосредственного «прокатывания» не происходит, смартфон достаточно поднести к терминалу.

Собственно, MST передает бесконтактным способом данные магнитной полосы карты таким образом, чтобы терминал думал, что он считывает карту. Диапазон действия составляет около трех дюймов, то есть около 7–8 сантиметров. Переменное магнитное поле создается только тогда, когда пользователь инициировал оплату.

Пока не очень понятно, предусмотрели ли разработчики какие-то дополнительные меры безопасности по сравнению с обычными для карт с магнитной полосой. Но можно достаточно уверенно предположить, что нет — для этого пришлось бы как-то модифицировать и платежные терминалы, а вся идея состоит именно в том, чтобы обеспечить совместимость с древней технологией без дополнительных вложений.

Внутри приложения LoopPay пользователь может управлять генерацией магнитного поля: оно может быть включено всегда или всегда отключено, включено на 10 минут (этого достаточно для одной транзакции), на восемь часов или на произвольный период времени.

В случае непосредственно LoopPay для создания магнитного поля требовалась специальная аппаратная приставка. Но, насколько мы понимаем, у Samsung все необходимое железо будет встроено прямо в смартфон. Мы попытались получить комментарии Samsung, но представители компании пока не желают делиться подробностями.

Доподлинно известно только одно: оплату можно будет инициировать через приложение буквально одним жестом. У пользователя будет возможность выбрать конкретную карту из набора привязанных к кошельку Samsung Pay. Для аутентификации будет использоваться отпечаток пальца. Более интересно с точки зрения безопасности, что защиту платежной платформы обеспечивает Samsung Knox.

Не очень понятно, как на перспективы данной технологии, полагающейся на считыватель магнитной полосы, повлияет грядущая интеграция карт с чипом (стандарт EMV). На эту тему на сайте LoopPay есть даже отдельный раздел в часто задаваемых вопросах. Компания считает, что MST не менее безопасна, чем карты с чипом. Правда, не вполне понятно, что позволяет компании так думать — карты с чипом потому и придумали, что магнитная полоса чрезвычайно уязвима.

Если Samsung не собирается поддерживать EMV в Samsung Pay, то все, что они делают, — это тащат в будущее древнюю и небезопасную «магнитную» технологию

В общем, интересно было бы узнать, что обо всем этом думают в Samsung. Особенно если помнить о том, что поддержка карт с чипом должна быть окончательно внедрена в Соединенных Штатах к концу 2015 года.

Если Samsung не собирается поддерживать EMV в своей платформе Samsung Pay, то все, что они делают, — это пытаются затащить в будущее древнюю и небезопасную «магнитную» технологию. Помимо всего прочего MST может стать одним из препятствий на пути всемирного внедрения EMV — еще одна причина не избавляться от старой недоброй магнитной полосы и терминалов, которые с ней работают.

Еще один сомнительный с точки зрения безопасности момент связан с конкретной реализацией платежей. Уязвимости есть везде — от операционных систем до подключенных домашних устройств, Samsung Pay также едва ли станет исключением. Само собой, нам придется подождать того момента, когда платформа будет официально запущена в Южной Корее и США (это стартовые страны) и исследователи безопасности займутся своим любимым делом — охотой на баги. Разумеется, мы обязательно вам об этом расскажем.

Также следует помнить о том, что Android — открытая и чрезвычайно популярная операционная система, занимающая на данный момент 76,6% рынка мобильных устройств. По этим двум причинам Android очень популярен среди киберпреступников, и платформа Samsung Pay также рискует попасть в топ-лист у плохих парней, занимающихся электронным мошенничеством. За примером тут далеко ходить не надо — буквально пару недель назад мы уже читали в новостях об использовании в мошеннических целях платформы Apple Pay.